Sundhedsplatformen: Epic udskyder igen at levere garanti for sikker databehandling
Leverandøren bag Sundhedsplatformen, Epic, har efter otte måneder endnu ikke formået at levere en færdig revisionserklæring, der skal dokumentere, at danske sundhedsdata bevares og behandles forsvarligt.
Dokumentet skulle have været sendt til regionen i juni sidste år. I denne måned har Epic imidlertid meddelt regionen, at revisionserklæringen først vil være klar til maj.
Det fremgår af en aktindsigt, som Version2 har fået.
Her oplyser Region Hovedstaden, at man »løbende vurderer, hvilke kontraktuelle implikationer forsinkelsen skal have«.
22. juni 2017: Epic har første deadline for at aflevere en revisionserklæring om it-sikkerheden hos leverandøren. 25. august 2017: Epic fremsender første udkast til revisionserklæring – på to en halv linje. 30. oktober 2017: Epic sender et nyt udkast til revisionserklæringen. 1. november 2017: Epic sender endnu et udkast til revisionserklæringen. 9. marts 2018: Epic oplyser til Region H, at revisionserklæringen er under udarbejdelse. 18. maj 2018: Epic vil fremsende erklæringen til regionen.Forløbet
To linjer
Som Version2 tidligere har beskrevet, sender Sundhedsplatformen rutinemæssigt ikke-anonymiseret sundhedsdata til it-medarbejdere i USA i forbindelse med vedligehold og fejlretning af it-systemet.
Revisionserklæringen er regionens garanti for, at Epic behandler sundhedsdataen sikkert. Men indtil videre har Epics forsøg på at leve op til dokumentationskravet været decideret mangelfulde.
I august sendte Epics Chief Security Officer Stirling Martin en erklæring til Sundhedsplatformen, der på to linjer meddelte, at Epic lever op til alle krav i kontrakten. Den erklæring fandt regionen for let.
»Sundhedsplatformen vurderede, at erklæringen ikke havde den fornødne detaljeringsgrad,« skrev Region Hovedstaden sidste år i en kommentar til Version2.
Region Hovedstaden understreger nu, at man »ikke på noget tidspunkt i forbindelse med driften af Sundhedsplatformen har haft mistanke om, at Epic ikke lever op til kravene i databehandleraftalen«.
Nye erklæringer mørkelagt
Ifølge kontrakten skulle Epic blandt andet dokumentere, at selskabet har haft besøg af uafhængige revisorer. I starten af oktober sendte regionen et regneark til Epic, som et »eksempel på, hvordan rapporteringen kunne gøres, eller hvordan vi kunne forestille os, at det kunne se ud«.
Siden har Epic i både oktober og november leveret nye udkast til revisionserklæringen, der er betydeligt længere end notatet fra august. Dem har Version2 også fået indsigt i – men begge er fuldstændig mørkelagt med henvisning til, at Epic i dokumentet beskriver »fortrolige forretningsforhold«.
Ligeledes er den feedback, som regionen har givet Epic på de nye udkast, blevet overstreget med en sort tusch.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.